Страница 1 из 1
Безопасность RedHat
Добавлено: 2008-11-21 18:49:00
BigBrother
Какими способами можно повысить безопасность редхат линукс?
Рылся в поисковике, ничего не нашел. Где можно почитать?
Какое есть специализированое ПО для повышения секюрности линукса? Снорт не предлагать, редхат его не поддерживает...
Re: Безопасность RedHat
Добавлено: 2008-11-21 21:15:50
hizel
вы о чем?
если о самой системе, то там есть selinux
Re: Безопасность RedHat
Добавлено: 2008-11-22 0:27:09
BigBrother
Есть выделеный сервер в интернете, на котором установлен редхат линукс. К серверу есть удаленный доступ по ssh.
Каким образом можно обезопасить хотя бы эс-эс-аш от посягательств вандалов? И поднять секурность системы на сетевом уровне?
Re: Безопасность RedHat
Добавлено: 2008-11-25 23:21:39
koffu
Самое простое - перенести порт SSH с 22 например на 2000 или на 1024< какой от фонаря придумаешь.
Код: Выделить всё
vi /etc/ssh/sshd_config
Port 2000
/etc/init.d/ssh restart
Или добавить в iptables:
(ЭТО ПРИМЕР НАСТРОЙКИ НЕ НАСТРОЕННОГО IPTABLES!!! У ВАС МОГУТ БЫТЬ УЖЕ ПРОПИСАНЫ КАКИЕ-ТО СВОИ ПРАВИЛА!!! СОВЕТ, ПОТРЕНЕРУЙТЕСЬ НА ВИРТУАЛЬНЫХ МАШИНАХ ИЛИ РЯДОМСТОЯЩИХ, ПРЕЖДЕ ЧЕМ ВВОДИТЬ ЭТИ КОМАНДЫ НА РАБОТАЮЩЕМ СЕРВЕРЕ, ЕСЛИ ВЫ НЕ ДО КОНЦА ПОНИМАЕТЕ ЧТО ОНИ ДЕЛАЮТ!!!)
Если страшно или нет опыта конфигурирования firewall удаленно, можно сделать Код: Выделить всё
iptables -I INPUT 1 -p tcp -s <XXX.твой IP.XXX> --dport 22 -j ACCEPT
(буква i большая, не L), тогда есть шанс, что сам себя не отрежешь от сервера.[/color]
[/b]
Код: Выделить всё
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -N SSH_WHITELIST
iptables -A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --rttl --name sshbr --rsource
iptables -A SSH -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 3 --rttl --name sshbr --rsource -j REJECT --reject-with tcp-reset
iptables -A SSH -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A SSH_WHITELIST -s XXX.XXX.XXX.XXX -p tcp -m tcp --dport 22 -m state --state NEW -m recent --remove --rttl --name sshbr --rsource
iptables -A SSH_WHITELIST -s YYY.YYY.YYY.YYY -p tcp -m tcp --dport 22 -m state --state NEW -m recent --remove --rttl --name sshbr --rsource
где XXX.XXX.XXX.XXX и YYY.YYY.YYY.YYY твои IP, которые ни при каких обстоятельствах не должны быть забанены.
потом с помощью
убедиться, что счетчик пакетов срабатывает на нужные правила, сделать так:
Код: Выделить всё
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
После этого желательно в /etc/ssh/sshd_config поставить MaxAuthTries перезапустить ssh. Будем иметь с незнакомого IP 2 попытки ввести имя и 2 раза пароль на каждую, после этого "Connection Refused" на 10 мин с попытки последнего доступа(этих параметров вполне хватает) или 2 успешных логина раз в 10 мин. По-опыту: количество оленей брутфорсящих сервер снижается с 300-1000 * 6 аккаунтов (по-умолчанию 6 повторов пароля на имя) до 1~6 аккаунтов, что хорошо видно по отчетам Logwatch. Освободить оленей
можно так:
Re: Безопасность RedHat
Добавлено: 2008-11-26 14:09:40
Adekamer
пачоматик на иптаблес - там есть порткнок
те надо телнетом в определенной последовательности постучаться по портам - и тогда открываеться для тебя(твоего ИП)
доступ
ну селинух конечно - если осилишь
Re: Безопасность RedHat
Добавлено: 2008-11-27 15:06:09
Andy
Adekamer писал(а):пачоматик на иптаблес - там есть порткнок
ну селинух конечно - если осилишь
Патчоматик - это сторонние патчи для расширения функционала netfilter? Ты осилил SELinux?
Re: Безопасность RedHat
Добавлено: 2008-11-27 17:20:48
Adekamer
Re: Безопасность RedHat
Добавлено: 2008-12-06 11:17:43
paix
centos\rhel с коробки имеет очень неплохую безопасность, кстати с включенным selinux по умолчанию и iptbales с некоторым набором правил.
а вообще пароли посложнее, поменьше сервисов ненужных запускать, и апдейтить систему периодически (и следить за ней)
еще есть интересные штуки по типу fail2ban
Кстати никто не знает есть ли аналоги fail2ban только на C ?